Auf dieser Seite wird erläutert, wie Sie Windows Server-Knoten in Ihrem GKE-Cluster (Google Kubernetes Engine) mit einer verwalteten Microsoft AD-Domain über das Feature Automatisierter Domainbeitritt verknüpfen.
So verknüpft Managed Microsoft AD Windows Server-Knoten automatisch mit einer Domain
Wenn Sie einen Knotenpool in Ihrem GKE-Cluster erstellen, können Sie die vordefinierten Skripts verwenden, die in Managed Microsoft AD verfügbar sind, um Ihrer verwalteten Microsoft AD-Domain automatisch beizutreten. Nachdem GKE den Knotenpool erstellt hat, initiiert Managed Microsoft AD die Anfrage zum Domainbeitritt und versucht, die Knoten mit Ihrer Domain zu verknüpfen. Wenn die Anfrage zum Zusammenführen einer Domain erfolgreich ist, werden die Knoten von Managed Microsoft AD mit Ihrer Domain verknüpft. Wenn die Anfrage zum Zusammenführen der Domains fehlschlägt, werden die erstellten Knoten weiterhin ausgeführt. Sie müssen die Logs überprüfen, um das Problem zu identifizieren und zu beheben, bevor Sie den Knotenpool noch einmal erstellen. Weitere Informationen finden Sie unter Fehlerbehebungslogs ansehen.
In einigen bestimmten Szenarien müssen Sie die Informationen zu nicht verknüpften Knoten manuell aus Managed Microsoft AD bereinigen. Weitere Informationen finden Sie unter Nicht verbundene VMs bereinigen.
Sie können einen vorhandenen Knotenpool nicht mit den Domainverknüpfungsskripts aktualisieren, um die vorhandenen Knoten automatisch mit Ihrer Domain zu verknüpfen.
Durch das Feature für den automatischen Domainbeitritt werden die GKE-Knoten nicht für die Ausführung mit gMSA zur Authentifizierung konfiguriert. Sie können jedoch manuell ein gMSA in Managed Microsoft AD erstellen und die GKE-Knoten für die Verwendung des gMSA konfigurieren. Informationen zum Konfigurieren eines gMSA für die GKE-Knoten finden Sie unter gMSA für Windows-Pods und -Container konfigurieren.
Hinweise
Erstellen Sie einen GKE-Cluster mithilfe von Windows Server-Knotenpools.
Prüfen Sie, ob die Windows Server-Knoten mit einer von Managed Microsoft AD unterstützten Windows-Version ausgeführt werden.
Konfigurieren Sie das Domain-Peering zwischen der verwalteten Microsoft AD-Domain und dem Netzwerk des Knotens oder verwenden Sie sowohl die verwaltete Microsoft AD-Domain als auch die Knoten im selben Netzwerk.
Erstellen Sie für das Projekt mit der verwalteten Microsoft AD-Domain ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (
roles/managedidentities.domainJoin). Weitere Informationen finden Sie unter Cloud Managed Identities-Rollen.Weitere Informationen zum Gewähren von Rollen finden Sie unter Einzelne Rolle zuweisen.
Informationen zum Erstellen eines Dienstkontos finden Sie unter Arbeitslasten mithilfe von Dienstkonten authentifizieren.
Legen Sie auf den Windows Server-Knoten den vollständigen Zugriffsbereich
cloud-platformfest. Weitere Informationen finden Sie unter Autorisierung.
Metadaten
Sie benötigen die folgenden Metadatenschlüssel, um Ihre Windows Server-Knoten mit einer Domain zu verknüpfen.
windows-startup-script-urlmanaged-ad-domain- Optional:
enable-guest-attributes - Optional:
managed-ad-ou-name - Optional:
managed-ad-force
Weitere Informationen zu diesen Metadatenschlüsseln finden Sie unter Metadaten.
Die Anfrage zum Domainbeitritt schlägt fehl, wenn das Computerkonto eines Windows Server-Knotens bereits in Managed Microsoft AD vorhanden ist. Damit Managed Microsoft AD das vorhandene Computerkonto beim Domainbeitritt wiederverwenden kann, können Sie den Metadatenschlüssel managed-ad-force beim Erstellen des Knotenpools verwenden.
Windows Server-Knoten zusammenführen
Sie können diese Metadatenschlüssel konfigurieren, wenn Sie Ihrem GKE-Cluster einen Windows Server-Knotenpool hinzufügen. In diesem Abschnitt wird erläutert, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen beim Erstellen eines Knotenpools verwenden.
Sie können diese Metadatenschlüssel jedoch auch verwenden, wenn Sie einen Knotenpool mit den anderen verfügbaren Optionen erstellen. Weitere Informationen finden Sie unter Knotenpools hinzufügen und verwalten.
Führen Sie den folgenden gcloud CLI-Befehl aus, um einen Knotenpool zu erstellen und die Windows Server-Knoten hinzuzufügen:
gcloud container node-pools create NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
"--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
--service-account=SERVICE_ACCOUNT \
--image-type=WINDOWS_IMAGE_NAME \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--location=ZONE_OR_REGION \
--no-enable-autoupgrade
Sie können die Platzhalter im Flag --metadata wie im Abschnitt Metadaten beschrieben durch relevante Werte ersetzen.
Weitere Informationen zu diesem gcloud CLI-Befehl finden Sie unter gcloud container node-pools create.